Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Microsoft Defender, tehditleri gerçekleşmeden önce tahmin etmek ve azaltmak için tasarlanmış proaktif bir savunma stratejisi olarak tahmine dayalı koruma (Önizleme) kullanır. Riski dinamik olarak çıkarsamak, saldırgan ilerlemesini tahmin etmek ve ortamınızı sağlamlaştırmak için tahmine dayalı korumanın nasıl çalıştığını öğrenin.
Bu makalede tahmin verilerinizi zenginleştirebilmeniz ve ortamınızda tahmine dayalı koruma eylemlerinin nasıl uygulandığını anlayabilmek için tahmine dayalı korumanın nasıl yönetileceğini açıklanmaktadır.
Tahmine dayalı koruma ayrıntılarını ve sonuçlarını gözden geçirin
Microsoft Defender'daki olay görünümü yerleşik tahmine dayalı koruma ayrıntılarını içerir. Tahmine dayalı koruma etkisini ve durumunu değerlendirmek için olay grafiğini ve etkinlik bilgilerini kullanın.
İpucu
Tahmine dayalı koruma verilerinizi zenginleştirmek için güvenlik içgörülerini geliştirmek ve kapsamı genişletmek için Kimlik için Microsoft Defender algılayıcısını kullanmanızı öneririz. Daha fazla bilgi için bkz . Tahmine dayalı koruma verilerini zenginleştirme.
Olay bilgilerini gözden geçirin
Olaylar sayfasında, tahmine dayalı korumanın uygulandığı olayları bulmak için Tahmine Dayalı Koruma etiketine göre filtreleyin.
Not
Olay ve uyarı ayrıntıları olayın başlangıcından geçmiş verileri gösterirken , Etkinlikler sekmesinde geçerli durumun anlık görüntüsü gösterilir. Daha fazla bilgi için bkz. Etkinlik bilgilerini gözden geçirme.
Ardından ilgili olayı seçip olay grafiğini gözden geçirerek saldırı hikayesinin tamamını alabilir ve tahmine dayalı koruma etkisini ve durumunu değerlendirebilirsiniz.
Tahmine dayalı koruma ayrıntıları ve sonuçları için uyarıyı ve kesinti bilgilerini de gözden geçirebilirsiniz:
Uyarı ayrıntılarında Tahmine dayalı koruma etiketini ve tanımlanan belirli tehdit türünü (örneğin fidye yazılımı) görüntüleyin. Olay e-posta bildirimlerine aboneyseniz, bu etiketler e-postalarda da görünür.
Kesinti özetinde, bu olayın bir parçası olarak çağrılan tahmine dayalı koruma ilkelerinin sayısını ve tüm ilkelerdeki sağlamlaştırılmış cihazların sayısını görüntüleyin.
Etkinlik bilgilerini gözden geçirin
Olayın Etkinlikler sekmesini seçin ve Tahmine dayalı koruma eylemlerinin uygulandığı etkinliklerin canlı anlık görüntüsünü almak için Yanıt kategorisine göre filtreleyin:
Tahmine dayalı koruma tarafından tetiklenen eylemleri görmek için Tür sütununu gözden geçirin.
Bu örnekte, Kullanıcı İçer, GPO Sağlamlaştırma ve SafeBoot Sağlamlaştırma eylemleri tahmine dayalı korumanın bir parçası olarak uygulanır. Tahmine dayalı koruma eylemleri hakkında daha fazla bilgi edinin.
Uyarı ayrıntıları bölmesini açmak için Tetikleme uyarısı sütununu seçin ve tahmine dayalı koruma eylemine yol açan uyarıyı gözden geçirin. Daha fazla bilgi için bkz. Tetikleme uyarısı bilgilerini gözden geçirme.
Hangi sağlamlaştırma ilkelerinin geçerli olduğunu görmek için İlke durumu sütununu gözden geçirin.
Not
Tarafından gerçekleştirilen sütunu, hem saldırı kesintisi hem de tahmine dayalı koruma eylemleri için Saldırı Kesintisi'ni gösterir. Tahmine dayalı koruma için hangi eylemlerin geçerli olduğunu anlamak için bkz. Tahmine dayalı koruma eylemleri.
Etkinliği açıklayan ve ilgili ilkenin geçerli olarak uygulandığı cihaz sayısını gösteren etkinlik ayrıntıları bölmesini açmak için belirli bir eylem seçin.
İpucu
Etkinlikler sekmesinde geçerli olaya özgü eylemler görüntülenirken, İşlem merkezi tüm etkinleştirmeleri görüntüler. İşlem merkezindeki tahmine dayalı koruma eylemlerini izlemek için bkz. İşlem merkezini kullanma.
Tetikleme uyarı bilgilerini gözden geçirin
Tahmine dayalı koruma eylemine yol açan uyarıyı araştırmak için olay ayrıntıları bölmesinden veya etkinlik sayfasından tetikleme uyarısını seçin.
Uyarıda şunları gözden geçirebilirsiniz:
- Hangi varlıkların risk altında olduğu.
- Uyarı zincirinden tetikleyen kötü amaçlı etkinlik.
- Bu riski hesaplamak için kullanılan açığa çıkarma verileri.
Tahmine dayalı koruma verilerini zenginleştirme
Güvenlik içgörülerini geliştirmek ve kapsamı genişletmek için Kimlik için Microsoft Defender algılayıcısını kullanmanızı öneririz. Bu yaklaşım uyarılara kullanıcı adları, Active Directory ayrıntıları ve grup üyelikleri gibi meta verileri ekleyip bunları daha eyleme dönüştürülebilir hale getirir.
Kimlik için Defender algılayıcısını eklemek için bkz. Kimlik için Microsoft Defender dağıtma.
Zenginleştirilmiş veri örneği
Bu örnek senaryoda:
- Ortamda hem Uç Nokta için Microsoft Defender hem de Kimlik için Microsoft Defender etkinleştirilir.
- Bir saldırgan atlama kutusuna bir ayak bastı ve bir iş istasyonunu (WSA) tehlikeye atmaya yol açan kötü amaçlı etkinlikler gerçekleştirdi.
- Zenginleştirilmiş veriler WSA'da şüpheli PowerShell etkinliklerini ortaya çıkararak saldırganın WSB'de uzaktan kimlik bilgisi toplama gerçekleştirme amacını gösterir.
- Bu zenginleştirme olayla ilgili tahmine dayalı veriler ekler ve daha fazla güvenliğin aşılmasına yönelik amacı gösterir.
Gelişmiş avcılıkta ilke değişikliklerini izleme
Ortamınızdaki ilke değişikliklerini izlemek için gelişmiş avcılıkta belirli sorguları kullanabilirsiniz.
Etkin tahmine dayalı koruma sağlamlaştırma ilkelerini izleme
Bu örnek sorgu, tahmine dayalı koruma sağlamlaştırma ilkelerindeki değişikliklerle ilgili olayları alır ve ilkelerin belirli etki alanları için ne zaman etkinleştirildiğini veya devre dışı bırakılmasını izlemenizi sağlar. Sorgu, DisruptionAndResponseEvents tablosunu kullanır.
DisruptionAndResponseEvents
let hardeningPolicyType =
let lookBackTime =
DisruptionAndResponseEvents
| where Timestamp > lookBackTime
| where PolicyName == hardeningPolicyType
| where DomainName == domainName
| summarize arg_max(Timestamp, IsPolicyOn) by DeviceId
| where IsPolicyOn
Ortamda ilke değişikliği olaylarını izleme
Bu örnek sorgu, uygulama ve sağlamlaştırma ilkelerinin Uç Nokta için Defender'a eklenen cihazlardan kaldırılması dahil olmak üzere ortamda ilke değişikliği olaylarını alır. Sorgu, DisruptionAndResponseEvents tablosunu kullanır.
DisruptionAndResponseEvents
let hardeningPolicyType = dynamic(["GpoPrevention", "SafebootPrevention"]);
let lookBackTime = datetime("");
DisruptionAndResponseEvents
| where PolicyName in (hardeningPolicyType)
| where Timestamp > lookBackTime
| where ReportType == 'PolicyUpdated' and IsPolicyOn == '1'
| summarize arg_max(Timestamp, DeviceName) , PoliciesApplied = make_set(PolicyName) by DeviceId
Tahmine dayalı koruma sağlamlaştırma ilkeleriyle ilgili engellenen olayları izleme
Bu örnek sorgu, tahmine dayalı koruma sağlamlaştırma ilkeleriyle ilgili engellenen olayları alır ve cihazlarda belirli eylemlerin ne zaman engellendiğini izlemenizi sağlar. Sorgu, DisruptionAndResponseEvents tablosunu kullanır.
DisruptionAndResponseEvents
let hardeningPolicyType = dynamic(["GpoPrevention", "SafebootPrevention"]);
DisruptionAndResponseEvents
| where PolicyName in (hardeningPolicyType)
| where ReportType == 'Prevented'
Tahmine dayalı koruma tarafından tetiklenen eylemleri geri alma
Tahmine dayalı korumanın bir parçası olarak uygulanan bir eylemi geri alabilirsiniz.
Bir eylemi geri almak için aşağıdakilerden birini yapın:
- Olayın Etkinlik sekmesinde, geri almak istediğiniz eylemi seçin.
- İşlem merkezinden bir eylemi geri alma.